返回列表 回復 發帖

防火牆常見錯誤

我們每個人在職業生涯中都犯過錯誤。這裏所說的錯誤,是那種會使你馬上丟掉工作的錯誤。舉例來說,曾經有過一個學校的網路管理員犯過這樣的錯誤,直接導致了校園裏的所有路由器同時重啟,而不是一個接一個。這個管理員本來是寫了個腳本,對路由器進行安全升級,計畫中是打算一個一個的升級並重啟的,但是結果卻是同時重啟了。他經過重新檢查腳本,才發現錯誤出在沒有等待路由器重啟,就直接命令下一個路由器進行升級。

像出現這種情況幾乎肯定要被學校開除了,但很幸運,學校並沒有這樣做。不過,對於任何涉及到一場大災難的人來說,都應該從災難中學到些什麼。我們都學過一些危機管理的知識,在網路重新恢復後,我們有必要花上幾個小時來學習該如何檢查網路是否工作正常。

所幸是大多數時候,大家所面對的錯誤並不是那麼嚴峻。而不幸的是我們犯的錯誤不見得馬上會被發現,這意味著這個錯誤可能潛伏數周,數月,甚至數年時間,直到有一天造成嚴重的後果,或者監管部門發現問題後把我們叫去盤問。在網路安全陣地的前沿,防火牆管理是一個很重要的區域,任何簡單的錯誤規則或配置,都可能給我們帶來無盡的後患。下麵就讓我們大家一起來瞭解一些最常見的錯誤:

建立毫無意義的防火牆組

一個防火牆管理員可能在超過半數的規則中都包含有一個特定的網路對象。我們假定這個對象名字叫“Joe_Montana”。每次當這個對象需要訪問網路時,管理員就為這個對象添加一個IP地址,而這個地址是很多許可規則裏列出的被許可的地址。這看上去沒什麼問題,因為沒有任何一個規則裏包含了ANY 範圍,但實際上這是個大漏洞。它使得防火牆規則變得毫無意義,而徹底梳理防火牆規則庫來解決這個問題,可能需要耗時幾個月。

從不升級防火牆軟體

很多公司的防火牆設備所採用的軟體都是過時的。在問到為什麼會出現這種情況時,大部分企業的防火牆管理員都會說是為了保證防火牆的穩定,或者不允許防火牆因為升級而出現暫時關閉現象。而實際上,防火牆產品廠商決定升級防火牆軟體都是有一定原因的。即使企業不一定必須更新到最新版的軟體,但如果還是運行著五六年前的舊版軟體,或者是距離最新版本老15-20個版本舊軟體,那麼就應該考慮立刻開始升級了。

使用錯誤的技術

之前,有個網路安全管理員與監管人員發生了爭執,因為該管理員在公司的安全web伺服器前端放置了一個防火牆,作為第二層防護屏障。按照他的想法,這就構成了一個雙重驗證機制:一個用戶密碼加一個防火牆。可以說這個管理員在創新性上可以得滿分,但是防火牆本身並不算是一個雙重驗證的解決方案。雙重驗證需要你的用戶擁有兩件可驗證對象,即所知的和所擁有的兩個對象。比如知道密碼,並擁有令牌。

偶然停電

曾經發生過這樣一件事,有個防火牆管理員為某個專案而在防火牆伺服器上進行數據收集。這個管理員在調整網線的時候不小心碰了幾下滑鼠,這時候滑鼠指針正好在“開始”的位置,然後,鬼使神差的滑鼠指針又指到了螢幕中央彈出來的關機確認窗口,並且點到了中間的關機按鈕。於是這個財務公司的防火牆就在這種情況下突然關閉了。

不良的文檔

大家肯定經常聽說防火牆管理員抱怨無法理解全部的防火牆規則。如果管理員在建立防火牆規則時圖省事,沒有進行詳細的文檔說明,看似節省下來的時間和精力,以後必然會花費到去理解這些規則上。因此肯定有人聽過這樣的話“恐怕我們要重新修改防火牆設置了,以前的管理員設置的那些防火牆規則沒有注釋,所以我們很難搞清楚它們的作用。”

過度使用丟棄Drop規則

一般來說,如果時間比較緊迫,我們都會建立一些屬於過度訪問的規則,然後再在這些規則的基礎上,建立丟棄規則,將不允
返回列表